Lorsque je travaille avec Puppet et MySQL, j'ai tendance à mettre le mot de passe root dans /root/.my.cnf, à verrouiller ce fichier, puis à restreindre l'accès SSH au serveur de base de données.
Oui, stocker le mot de passe root sur le serveur de base de données en texte clair n'est pas la solution la plus sécurisée. Cependant, si vous écrivez le mot de passe root mysql dans ce fichier, la sécurisation du compte root mysql pour autoriser les connexions à partir de localhost uniquement gardera le mot de passe hors de la marionnette, et également hors de la liste des processus ps tableau.
De plus, si quelqu'un a un accès root pour lire le fichier sur /root/.my.cnf, il a probablement aussi accès pour arrêter le démon MySQL local et redémarrer le démon sans la table des utilisateurs pour obtenir un accès root immédiat à la base de données.